漏洞描述:
Apache Kafka是一个开源分布式事件流平台,通常用于高性能数据管道、流分析、数据集成和和关键任务应用,ZooKeeper通常用于管理Kafka集群的元数据,而KRaft模式则通过Raft协议直接在Kafka集群内部处理这些元数据,近日监测到ApacheKafka中存在一个访问控制不当漏洞(CVE-2024-27309),官方评级为“严重”,Apache Kafka受影响版本中,当Apache Kafka集群从ZooKeeper模式迁移到KRaft模式时,如果管理员删除ACL(访问控制列表),并且与删除的ACL相关联的资源在删除后仍有两个或更多其他ACL关联时,Kafka会将该资源视为在删除后仅具有一个与其关联的 ACL,导致ACL可能无法正确执行,该漏洞可能导致访问控制失效或未授权访问、拒绝服务攻击、合法用户无法正常访问等。
影响范围:
Apache Kafka 3.5.0、3.5.1、3.5.2、3.6.0、3.6.1
注:漏洞具体影响取决于配置的 ACL。如果在迁移期间仅配置了 ALLOW ACL,则影响将仅限于可用性影响,如果配置了DENY ACL,则影响可能包括机密性和完整性影响,因为在迁移过程中DENY ACL可能会被忽略。
安全措施:
升级版本
目前该漏洞已经修复,受影响用户可更新到不受影响的Apache Kafka版本或当前最新版本3.7.0。
下载链接:
https://kafka.apache.org/downloads
临时措施:
通过删除ZK模式下的所有代理,或向受影响的资源添加新的ACL,可以清除不正确的情况,迁移完成后,元数据不会丢失(ACL全部保留)
原文始发于微信公众号(飓风网络安全):【漏洞预警】Apache Kafka访问控制不当漏洞(CVE-2024-27309)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论